...

ISO/TS 37008 – Postępowania wewnętrzne

Picture of Dariusz Rycek

Dariusz Rycek

Wprowadzenie do tematyki normy ISO/TS 37008

We wpisie na Linkedin’ie z dn. 05.08.20231, w którym przedstawiliśmy krótkie wprowadzenie do pierwszej edycji normy ISO/TS 37008:2023, napisaliśmy o postępach prac wydawniczych komitetu ISO/TC 309 – Governance of organization. Mimo, że wydaje się on dość powolny bo od września 2021 roku mamy dopiero kolejne opracowanie, to po jego lekturze można powiedzieć spokojnie – ale jakie. Norma ISO/TS 37008:2023 – Internal investigations of organizations — Guidance, to jak widać tylko wytyczne, ale bardzo potrzebne gdy weźmiemy na tapetę temat tak standardy ISO 37001, ISO 37301, ISO 37002, czy może najbardziej palący wszystkich temat „ochrony sygnalistów”, związany z wprowadzeniem naszego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. Urz. UE L 305 z 26.11.2019, str. 17). Nie jest naszą domeną ocena aktu prawnego, dlatego nie odniesiemy się do postępu prac nad implementacją dyrektywy, ale skupimy się na tym jak podjąć temat postępowania wyjaśniającego z pkt widzenia wymagań w/w norm.

Z racji licencji nie możemy przedstawić pełnej treści naszego tłumaczenia normy ISO/TS 37008, ale w kilku paragrafach zachęcimy Państwa do zapoznania się z nią, gdyż może ona doskonale służyć zarówno spełnieniu wymagań ISO 37001, ISO 37301, ale przede wszystkim do implementacji wymagań dyrektywy, szczególnie wtedy gdy światło dzienne ujrzy już ustawa wprowadzająca na którą czekamy.

ISO 37001, ISO 37301

Przedmowa do normy ISO/TS 37008

Gdy próbowałem znaleźć jakiś materiał o tej normie w popularnych wyszukiwarkach, ale w języku polskim, bo w końcu rynek nasz niemalże kipi od kompetencji w zakresie standardów z zakresu Compliance – ISO 37001, ISO 37301, nigdzie niczego nie zalazłem. Dlatego powstał ten  wpis aby dać klientom możliwość oparcia się przy opracowywania wewnętrznych regulacji o standardy, które zostały przygotowane właśnie jako wsparcie w tym zakresie.

Jak napisano w normie ISO/TS 37008”… Dochodzenie wewnętrzne jest integralną częścią zarządzania organizacją. Jest ono profesjonalnym procesem ustalania faktów, zainicjowany przez organizację lub dla organizacji, w celu ustalenia faktów w związku z domniemanymi lub podejrzewanymi wykroczeniami, niewłaściwym postępowaniem lub niezgodnością (takimi jak przekupstwo, nieuczciwe działania, nękanie, przemoc lub dyskryminacja). Umożliwiają one organizacji:

  • podejmowanie świadomych decyzji w przypadku naruszenia przepisów prawa, regulacji, kodeksów branżowych, wewnętrznych polityk, procedur, procesów, korporacyjnej polityki zgodności i/lub wartości i etyki organizacji;
  • zrozumieć przyczyny, które doprowadziły do wyżej wymienionych naruszeń;
  • ustalić, czy zarzut lub obawa są uzasadnione lub nieuzasadnione;
  • ocenić straty finansowe organizacji;
  • ograniczenie odpowiedzialności organizacji i/lub jej kierownictwa;
  • wprowadzić i wdrożyć niezbędne środki łagodzące, aby zapobiec podobnym zachowaniom;
  • wzmocnienie kultury zgodności i etyki organizacji;
  • w razie potrzeby dokonywać zewnętrznych zgłoszeń do odpowiednich organów (organów ścigania, organów sądowych, organów regulacyjnych lub innych organów określonych w przepisach prawa lub regulacjach) lub odpowiednich zainteresowanych stron;
  • podejmowanie decyzji w sprawie sankcji wobec kierownictwa i/lub pracowników oraz wykluczenia ze współpracy ze stronami trzecimi zaangażowanymi w nieetyczne postępowanie…”
ISO 37001, ISO 37301

Przykładowy zakres opracowania – art. 6 – Procedura dochodzeniowa

W strukturze normy są przedstawione zarówno wytyczne ogólne, jak i wyjaśnienia ujęte w załączniku A. I tak w odniesieniu do wspomnianego artykułu można przeczytać:

„…Organizacja powinna ustanowić i wdrożyć politykę lub procedury dochodzeniowe, które:

  • określenie zakresu dochodzenia, procesu, obowiązków i możliwości wewnętrznych pracowników dochodzeniowych;
  • wyraźne powiązanie z procedurami organizacji dotyczącymi zgłaszania nieprawidłowości lub zgłaszania uwag;
  • wymagać terminowego i odpowiedniego działania za każdym razem, gdy zgłaszana jest wątpliwość;
  • zapewnienie, że dochodzenie jest prowadzone z poszanowaniem praw zaangażowanych osób;
  • upoważnienie i umożliwienie śledczym prowadzenia prac dochodzeniowych;
  • wymagają współpracy w dochodzeniu ze strony całego personelu;
  • dopilnować, aby dochodzenie było prowadzone przez personel niezależny od dochodzenia i aby personel ten był informowany o jego przebiegu;
  • wymagają, aby wyniki dochodzenia, w tym wszelkie ograniczenia, zastrzeżenia lub inne kwestie związane z dochodzeniem, były odpowiednio dokumentowane, przeglądane i zgłaszane;
  • wymagają, aby dochodzenie było prowadzone w sposób poufny, a informacje były udostępniane wyłącznie osobom, które muszą je znać;
  • wymagają, aby organizacja posiadała zasady lub procesy umożliwiające natychmiastowe zaprzestanie niezgodnych z prawem działań, również w trakcie trwającego dochodzenia;
  • wymagać, aby wyciągnięte wnioski lub zalecenia wynikające z dochodzeń były wykorzystywane w celu zapobiegania ponownemu popełnianiu wykroczeń;
  • wymagać, aby polityki i procedury były regularnie aktualizowane w oparciu o wnioski z wewnętrznych dochodzeń…”

Dlatego tak ważna jest opracowanie własnych regulacji aby w tym zakresie sprostać wymaganiom tak ISO 37001, jak ISO 37301, ale także wymaganiom dyrektywy.

ISO 37001, ISO 37301

Podsumowanie przeglądu ISO/TS 37008

Cywilne sprawy sądowe, doniesienia informatorów (sygnalistów) oraz dochodzenia inicjowane przez organy regulacyjne często stają się katalizatorami dla przeprowadzenia śledztw wewnątrzorganizacyjnych. Celem jest zgromadzenie wiedzy na temat czynników wyzwalających te konkretne incydenty, dokumenty i badania zewnętrzne, aby w rezultacie zastosować adekwatne metody naprawcze.

Wewnętrzne śledztwa są integralnym elementem systemu zarządzania zgodnością. Ten dokument może służyć jako orientacyjny przewodnik przy implementacji standardów takich jak ISO 37301, ISO 37001 czy ISO 37002. Ponadto, stanowi użyteczne narzędzie do identyfikacji zagrożeń. Po zidentyfikowaniu konkretnego ryzyka, firma może przeprowadzić analizę rdzeniowych przyczyn niezgodności, a następnie sformułować mechanizmy kontrolne ryzyka.

Niewdrożenie mechanizmów do przeprowadzenia śledztw wewnątrz organizacji lub zaniedbanie tego rodzaju działań może wywołać negatywne reperkusje. Do nich zaliczają się redukcja efektywności systemu zarządzania zgodnością, erozja reputacji oraz nieumiejętność wykrycia i zwalczania praktyk nadużycia. ISO/TS 37008 zawiera wytyczne dla organizacji dotyczące wdrażania dochodzeń wewnętrznych w oparciu o następujące zasady: niezależne, poufne, kompetentne i profesjonalne, obiektywne i bezstronne oraz legalne i zgodne z prawem. Powyższy rysunek to koncepcyjny przegląd procesu dochodzeniowego przedstawiający cały obraz dochodzenia wewnętrznego i możliwych działań po dochodzeniu. Należy też zwrócić uwagę na fakt, że w przypadku dowodów cyfrowych warto skorzystać z takich standardów jak: ISO/IEC 27001 oraz ISO/IEC 27037.

Ale najważniejszym przesłaniem z tej normy jest to, że niewłaściwe prowadzenie tego procesu może zniweczyć wyniki kolejnego etapu jakim może być postępowanie sądowe. Dlatego tak ważne jest to kto i jak będzie prowadził postępowanie wyjaśniające.

Zapraszamy do współpracy i kontaktu
Zespół Centre of Excellence & QSCert

 

Bibliografia:

  1. Linkedin – 05.08.2023 – https://www.linkedin.com/posts/dariusz-rycek_isots-370082023-activity-7093629911239696384-8yZ4?utm_source=share&utm_medium=member_desktop
  2. ISO/TS 37008:2023 – Internal investigations of organizations — Guidance, https://www.iso.org/en/contents/data/standard/07/40/74094.html
  3. Dyrektywa PE o ochronie sygnalistów – https://commission.europa.eu/aid-development-cooperation-fundamental-rights/your-rights-eu/protection-whistleblowers_pl
  4. ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements – https://www.iso.org/en/contents/data/standard/08/28/82875.html  
  5. ISO/IEC 27037:2012 Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence – https://www.iso.org/en/contents/data/standard/04/43/44381.html
Scroll to Top